身份验证

x-api 帮助你处理 X/Twitter API 相关工作，包括发帖、读取时间线、搜索和基础分析。它会为 API 开发任务提供认证方式、端点选择和请求结构方面的指引，涵盖 bearer token 读取以及 OAuth 1.0a 写入流程。

springboot-security 是一份实用的 Spring Boot 安全指南，覆盖认证、授权、校验、CSRF/CORS、密钥、请求头、限流和依赖检查。适合用于 Security Audit 工作，或在减少安全配置错误风险的前提下加固 Java 服务。

使用 security-review 技能审查 auth、用户输入、secrets、API、支付、上传以及其他敏感流程。它提供一份实用的安全审查指南，包含清晰的通过/不通过检查、风险模式示例，以及一套聚焦的流程，帮助你在发布前发现常见问题。

laravel-security 技能是一份实用的 Laravel 安全检查清单，覆盖 authn/authz、验证、CSRF、mass assignment、文件上传、密钥、速率限制和安全部署。适合用于 Laravel 应用的审计、功能评审和加固工作。

kotlin-ktor-patterns 可帮助你使用 routing DSL、plugins、authentication、Koin DI、kotlinx.serialization、WebSockets 和 testApplication 测试来构建或重构 Ktor 后端。把这份 kotlin-ktor-patterns 指南当作维护性更好的 Backend Development 和更清晰的服务端结构参考。

exploiting-jwt-algorithm-confusion-attack 技能可帮助安全审计流程测试 JWT 算法混淆，包括 RS256 到 HS256 的降级、alg:none 绕过，以及 kid/jku/x5u 头部技巧。它提供实用指南、参考示例和可重复验证的脚本，便于稳定复现测试结果。

firebase-apk-scanner 是一款面向 Android APK 的专注型安全审计技能，可检查基于 Firebase 的应用是否存在开放数据库、存储暴露、弱认证以及未认证的 Cloud Functions。适用于已获授权的 Firebase 安全审计场景，尤其是在你需要安装与使用指引，并希望从 APK 审查顺利推进到可验证发现时使用。

azure-identity-ts 帮助 TypeScript 应用使用 @azure/identity 访问 Azure 服务并完成身份验证。可用此技能选择适合本地开发、生产环境、CI/CD、托管标识、服务主体、工作负载标识或浏览器登录的凭据。它尤其适合 Backend Development 以及清晰的 azure-identity-ts 指南型工作流。

fastapi-router-py 是一个面向 FastAPI 路由的脚手架，适用于 CRUD 端点、auth 依赖、响应模型和 HTTP 状态码。它可以帮助后端开发团队基于模板生成一致的 routers，而不是手工编写每个 endpoint。适合在需要可预测结构、可复用模式，并尽量减少新 REST 资源实现时的试错成本时使用。

azure-keyvault-py 是面向 Python 的 Azure Key Vault 技能，覆盖 secrets、keys 和 certificates。它可以帮助后端开发团队选对 client、安装正确的 packages、配置 Azure credentials 和 environment variables，并按一份实用的 azure-keyvault-py 指南完成安全的运行时访问。

azure-identity-py 帮助你在 Python 中使用 Microsoft Entra ID 配置 Azure 身份验证。它适合用于选择 DefaultAzureCredential、managed identity 或 service principal 认证，配置环境变量，并排查访问控制和凭据链问题。安装说明、使用模式和实用的配置提示均基于 repo skill file。

azure-communication-common-java 是面向 Azure Communication Services 共享身份验证与标识的 Java 技能。适用于 `CommunicationTokenCredential`、令牌刷新，以及与 Chat、Calling 或其他 ACS 客户端相关的后端开发。内容包含安装指引、示例，以及一份实用的 azure-communication-common-java 使用指南。

azure-identity-dotnet 是面向 .NET Azure SDK 客户端的 Microsoft Entra ID 身份验证技能。它涵盖 DefaultAzureCredential、托管标识、服务主体和开发者凭据，并提供在后端服务、ASP.NET Core 应用和自动化场景中的安装与使用指导。

oauth 可帮助你在 Fastify 应用中实现和排查 OAuth 2.0/2.1，用于登录、access token、PKCE、refresh token 和路由保护。当你需要实用的 oauth 用法、安装步骤，以及处理 redirect URI、scope、CSRF 或 token 验证问题时，它可作为后端开发的 oauth 指南。

detecting-anomalous-authentication-patterns 可帮助分析认证日志，识别不可能旅行、暴力破解、密码喷洒、凭证填充以及账户被盗活动。它面向 Security Audit、SOC、IAM 和 incident response 工作流，提供基于基线的检测与有证据支撑的登录分析。

configuring-oauth2-authorization-flow 技能可帮助你为 Access Control 设计并验证 OAuth 2.0 授权配置，涵盖 Authorization Code + PKCE、Client Credentials 和 Device Authorization Grant。使用这份 configuring-oauth2-authorization-flow 指南来选择授权模式、设置 redirect URI、审查 scopes，并对齐 OAuth 2.1 最佳实践。

configuring-ldap-security-hardening 可帮助安全工程师和审计人员评估 LDAP 风险，包括匿名绑定、签名过弱、缺少 LDAPS 以及 channel binding 缺口。使用这份 configuring-ldap-security-hardening 指南，可以先查阅参考文档，再运行 Python 审计辅助脚本，并为 Security Audit 产出可落地的修复建议。

building-identity-governance-lifecycle-process 可用于设计身份治理与生命周期管理方案，覆盖 joiner-mover-leaver 自动化、访问审查、基于角色的权限配置，以及孤儿账号清理。它适合需要实用工作流指导、而不是通用策略草案的跨系统 Access Control 项目。

面向 OWASP 模式、secret 管理和安全测试的 security 技能。用于审查 auth、用户输入、API keys、环境变量和仓库卫生，尤其适合 Security Audit 相关工作。

setup-browser-cookies 可帮助代理将真实 Chromium 浏览器中的 cookies 导入到无头会话中。它通过复用现有登录状态，支持已登录页面的鉴权 QA 和浏览器自动化，并提供交互式域名选择器来控制导入哪些 cookies。适合需要在已登录页面上使用 setup-browser-cookies 的场景，而不是重新走一遍凭据登录流程。

azure-identity-rust 帮助 Rust 应用使用 Microsoft Entra ID 对 Azure SDK 客户端进行身份验证。本技能涵盖安装、用法和凭据选择，适用于后端开发、本地工作流、托管标识以及服务主体认证。它还可帮助你避开已弃用的 azure_sdk_* crates，并正确使用官方 azure_* crates。

azure-identity-java 可帮助 Java 后端开发者在 Azure SDK 客户端中使用 Microsoft Entra ID 身份验证。它会介绍适用于本地开发、CI/CD 和 Azure 托管应用的正确凭据，包括 DefaultAzureCredential、managed identity 和 service principal 等模式。

entra-agent-id 是面向后端开发团队的 Microsoft Entra Agent ID 预览版技能，帮助你使用 Graph beta 构建支持 OAuth2 的 AI agent 身份。内容涵盖 blueprint 搭建、BlueprintPrincipal、agent identities、权限、sponsor、workload identity federation 以及基于 sidecar 的认证。可用于了解 entra-agent-id 的安装、使用方式和上线约束。